Pravna ura št. 88 – oktober 2025. 

 

Video nadzor, glavna tarča sankcij CNIL.

CNIL je to storil bistvo oktobra o svojem poenostavljenem postopku sankcij.

Šestnajst sankcij, naloženih od lanskega maja, je spremljala globa v skupnem znesku 108.000 evrov, poleg 104.000 evrov iz desetih odločb. izrazito od januarja.

Poleg video nadzora sankcije zajemajo tudi prakse komercialnega iskanja potencialnih strank, ki se izvajajo brez soglasja zadevnih oseb, in nesodelovanje pri zahtevi za uveljavljanje pravic iz GDPR (pravica do dostopa, popravka ali ugovora).

Video nadzor ostaja glavna tema sankcij, zlasti kadar se izvaja na delovnem mestu.

CNIL sistematično opozarja na neupoštevanje načela minimizacije podatkov s strani upravljavcev podatkov.

Farmacevtsko podjetje in bolnišnica sta bila sankcionirana zaradi snemanja sindikalnih prostorov in neposrednega dostopa do njih, kar je v nasprotju s členom 5.1.c GDPR, ki določa, da morajo biti podatki ustrezni, relevantni in omejeni na tisto, kar je potrebno za zastavljeni namen.

CNIL nas opominja, da morajo nadzorne kamere CCTV, nameščene na delovnih mestih, ne glede na to, ali so odprte za javnost ali ne, spoštovati zasebnost zaposlenih.

"Kamere pod nobenim pogojem ne smejo snemati sindikalnih prostorov ali njihovih neposrednih dostopnih točk."

Vsaka pretirana kršitev zasebnosti posnetih oseb tako krši to načelo minimizacije, kot je CNIL ugotovil tudi v internatu, katerega video nadzorni sistem je snemal učence med zajtrki in na dvorišču.

Kamer ni mogoče namestiti na delovnem mestu.

• Le če zasledujejo legitimen cilj, kot je varnost premoženja in ljudi,
• Na omejenih in neinvazivnih območjih, kot so vhodi in izhodi stavb, prehodi ali skladišča.

Zahtevane so tudi obveznosti glede varnosti in preglednosti:

• Dostop do slik mora biti varen in dostopen le pooblaščenemu osebju, podatki pa se morajo hraniti omejeno obdobje, načeloma od nekaj dni do enega meseca.
• Odgovorna oseba mora predhodno obvestiti in se posvetovati s predstavniki zaposlenih ter poskrbeti za objavo obvestila za zaposlene in javnost.

Izjeme glede obveznosti glede preglednosti so še vedno možne: v izjemnih okoliščinah in pod določenimi pogoji lahko upravljavec podatkov začasno namesti kamere, ki niso vidne zaposlenim, pod pogojem, da se analizira združljivost naprave z GDPR in da se to lahko utemelji.

Zaradi odsotnosti takšne analize vpliva in nevključevanja njenega pooblaščenca za varstvo podatkov v izvajanje skritega sistema video nadzora je CNIL septembra lani sankcioniral organizacijo La Samaritaine.

Podjetje je poročalo o tatvinah, storjenih v rezervatih, in pojasnilo, da je sistem začasen, vendar ni izvedlo nobene predhodne analize niti dokumentiralo začasne narave namestitve.

Zaradi tega neupoštevanja ravnovesja med zastavljenim ciljem in varstvom zasebnosti zaposlenih je bilo podjetju naloženo globo v višini 100.000 evrov.

Nazadnje je treba opozoriti, da mora napravo za javno dostopna mesta odobriti prefekt oddelka ali policijski prefekt v Parizu.

 

      

Računsko sodišče je 31. oktobra objavilo poročilo o „vprašanjih suverenosti državnih civilnih informacijskih sistemov“.

Podaja več opažanj:

• Nekatera ministrstva uporabljajo neevropske IT-rešitve, včasih za občutljive podatke, kar škoduje digitalni suverenosti.

Poročilo v zvezi s tem navaja platformo za zdravstvene podatke, ki jo že več kot pet let gosti ameriško podjetje.

Prav tako ugotavlja, da zasebni operaterji ponujajo vloge za javne storitve, ne da bi zanje veljale enake obveznosti kot za državo.

• Uprava ne izvaja kartiranja občutljivih podatkov, kar bi predstavljalo referenčni okvir, ki bi omogočal identifikacijo tistih, katerih suverenost je treba prednostno ohraniti.
• Vladne agencije še vedno uporabljajo omejeno suvereno računalništvo v oblaku, notranji državni oblaki se težko razširijo, usklajevanje zahtev glede suverenosti z zahtevami glede delovanja pa se izkazuje za zapleteno.
• DINUM upravlja dve suvereni infrastrukturi: medresorsko mrežo države (RIE) in sistem digitalne identitete (FranceConnect), ki veljata za uspeha, čeprav je še vedno potreben napredek, zlasti glede odpornosti.
• Poleg nadzora nad občutljivimi podatki si država ne prizadeva za popolno suverenost, temveč za vzpostavitev dovolj visoke ravni zaupanja z uporabo javnih naročil, združevanja nakupov in potrjevanja s strani ANSSI za omejitev tveganj.

Državni svet je 15. oktobra potrdil globo v višini 8.000.000 evrov, ki jo je CNIL naložil Applu zaradi obdelave podatkov francoskih uporabnikov za namene prilagojenega oglaševanja brez njihovega soglasja.

• Državni svet je menil, da sankcija ni bila nesorazmerna glede na število prizadetih – skoraj 27,5 milijona uporabnikov med julijem 2020 in julijem 2021 – in ekonomsko težo skupine.
• Prav tako je potrdil pristojnost CNIL za odločanje o njenih dejavnostih v Franciji, s čimer je zavrnil argument družbe, da pod pristojnost evropskega regulatorja spada le njena irska entiteta.

Ministrstvo za delo in solidarnost, CNIL in AFCDP so agenciji Afpa zaupali izvedbo nove raziskave observatorija poklica pooblaščenih oseb za varstvo podatkov o vplivu umetne inteligence na ta poklic.

Raziskava raziskuje modele upravljanja umetne inteligence znotraj organizacij, vlogo pooblaščene osebe za varstvo podatkov (DPO), glavne izzive, s katerimi se soočajo pooblaščene osebe za varstvo podatkov, in njihove potrebe glede orodij in usposabljanja. Rezultati bodo objavljeni v prvi polovici leta 2026.

CNIL je 28. oktobra objavil poročilo o svojem dogodku z dne 20. maja z naslovom »GDPR: kakšen ekonomski vpliv?«. 

Dogodek je združil ekonomiste ter francoske (CNIL) in evropske (britanski organ za varstvo podatkov, Evropska komisija) regulatorje, ki so prispevali k naknadni oceni izvajanja GDPR.

Ker so jo akterji v distribucijskem sektorju zaprosili za prenosljivost podatkov, povezanih s programi zvestobe, je sredi oktobra določila tudi, katere informacije je treba posredovati, zlasti glede črtne kode in podatkov, povezanih s promocijami, do katerih so imele stranke dostop.

 

Evropske institucije in organi

Spremembe GDPR, načrtovane v zakonu Digital Omnibus, bi lahko šle dlje, kot je bilo sprva napovedano, v skladu z neformalno različico dokumenta, ki jo je razširil tisk.

Predlog, ki naj bi bil uradno objavljen 19. novembra, bi pojasnil (hkrati omejil) nekatere ključne opredelitve, sprostil nekatera pravila glede zaupnosti in odobril uporabo osebnih podatkov za usposabljanje za umetno inteligenco.

Civilna družba se je že odzvala in opozorila na nevarnosti takšne poenostavitve za temeljne pravice.

Evropska komisija je v četrtek, 9. oktobra, napovedala začetek javnega posvetovanja o osnutku smernic v zvezi z interakcijo med uredbo o digitalnih trgih (DMA) in GDPR.

Ta projekt je bil razvit v sodelovanju z Evropskim odborom za varstvo podatkov (EDPB).

Člen 5(2) je v središču teh smernic: DMA od "vratarjev" zahteva, da pridobijo soglasje uporabnikov za deljenje svojih podatkov med različnimi storitvami, vendar ne opredeljuje natančnih pogojev tega soglasja.

Besedilo zdaj določa, da mora biti ta privolitev veljavna v smislu GDPR, predvsem pa, da jo je treba zahtevati ločeno za vsak posamezen namen obdelave (prilagajanje vsebine in ciljno oglaševanje).

Posvetovanje je odprto do 4. decembra.

Evropska komisija je 24. oktobra predhodno ugotovila, da Meta in TikTok kršita Zakon o digitalnih storitvah (DSA).

Podjetja raziskovalcem ne omogočajo ustreznega dostopa do javno dostopnih podatkov.

Komisija prav tako predhodno ugotavlja, da Facebook in Instagram nista izpolnila svojih obveznosti (1) da uporabnikom zagotovita preproste mehanizme za prijavo nezakonitih vsebin, kot so otroška pornografija ali teroristične vsebine, in (2) da uporabnikom omogočita učinkovito izpodbijanje odločitev Meta o moderiranju vsebin.

TikTok in Meta imata možnost dostopa do preiskovalne datoteke in odzivanja nanjo.

Evropska komisija je objavila svoj okvir za suvereni oblak za organe javnega naročanja.

Dokument se opira na več evropskih pobud, vključno z evropskim okvirom za certificiranje kibernetske varnosti (ENISA, NIS2, DORA).

Nanaša se tudi na nacionalne politike, kot je »oblak v središču« v Franciji s SecNumCloud podjetja Anssi in nemški Sovereign Cloud.

Komisija predlaga oceno suverenosti za ponudbe v oblaku, ki temelji na različnih merilih, kar povzroča mešane odzive.

Metoda ni posebej zadovoljna z evropskimi ponudniki storitev v oblaku, zbranimi v združenju Cispe, ki jo imajo za nepregledno in v sedanji obliki daje prednost tujim akterjem.

Poslanci Evropskega parlamenta pozivajo k preiskavi DSA glede Shein, Temu in AliExpress.

Potem ko je pariško tožilstvo začelo preiskavo teh štirih podjetij zaradi prodaje "otroškim spolnim lutkam", je več kot 40 poslancev Evropskega parlamenta pozvalo Komisijo, naj sproži preiskavo, poroča Euractiv.

Predlog uredbe CSAM, namenjene preprečevanju in boju proti spolni zlorabi otrok, je bil ponovno na dnevnem redu zasedanja Evropskega sveta 14. oktobra.

Ker je Nemčija, ki je prej močno podpirala zakon, umaknila svojo podporo osnutku uredbe, je bilo glasovanje preloženo.

Sporni predlog je predvideval skeniranje sporočil na uporabnikovem terminalu pred njihovim pošiljanjem, kar je dansko predsedstvo Sveta odstranilo, da bi pridobilo zadostno podporo držav članic.

Danska bi kljub temu nameravala za nedoločen čas podaljšati trenutno začasno dovoljenje za „prostovoljne“ analize CSAM, „ponudniki storitev z visokim tveganjem […] pa bi lahko še vedno morali sprejeti ukrepe za razvoj ustreznih tehnologij za zmanjšanje tveganja spolne zlorabe otrok, ugotovljenih v okviru njihovih storitev“.

Notranji ministri EU se bodo ponovno sestali v začetku decembra.

Odbor za varstvo podatkov je na oktobrskem plenarnem zasedanju izbral temo za svoj peti usklajeni ukrep o nadzoru, ki se bo osredotočil na skladnost z obveznostmi glede preglednosti in obveščanja, ki jih določa GDPR.

Uredba zagotavlja, da so zadevne osebe obveščene o obdelavi njihovih podatkov (v skladu s členi 12, 13 in 14).

EOVP ponovno poudarja, da je ta pravica do obveščenosti osrednji element preglednosti in posameznikom zagotavlja boljši nadzor nad njihovimi podatki.

Sodelujoči organi za varstvo podatkov se bodo temu ukrepu v prihodnjih tednih pridružili prostovoljno, sam ukrep pa se bo začel izvajati v letu 2026.

Preiskava posrednikov osebnih podatkov, ki so jo izvedli belgijski dnevnik L'Echo, nemška specializirana publikacija Netzpolitik.org, nizozemska radijska postaja BNR, nemška radijska postaja BR in Le Monde, kaže na obseg nadzora, ki ga omogočajo geolokirani oglaševalski podatki.

Ti podatki, ki jih je pridobil "Le Monde" s partnerji, so omogočili identifikacijo in sledenje več dostojanstvenikom Evropske unije, včasih celo do njihovih domov.

 

Novice iz držav članic Evropske unije.

Nemška zvezna država Schleswig-Holstein je opustila vladne sisteme elektronske pošte in koledarja v korist odprtokodne programske opreme.

Selitev, ki je trajala šest mesecev, je Microsoft Exchange in Outlook nadomestila z Open-Xchange in Mozilla Thunderbird.

Prenos je vključeval več kot 40.000 e-poštnih računov in več kot 100 milijonov sporočil ter vnosov v koledar.

V Avstriji nevladna organizacija Noyb poroča, da je organ za varstvo podatkov izdal odločbo, v kateri ugotavlja, da Microsoft 365 Education nezakonito sledi študentom in uporablja njihove podatke za lastne namene Microsofta.

Programski velikan se tudi ni odzval na zahtevo za dostop v zvezi z Microsoft 365 Education, ki se pogosto uporablja v evropskih šolah.

Avstrijsko sodišče je potrdilo globo v višini 1.500.000 evrov, ki je bila naložena podjetju IKEA zaradi nezakonitega in pretiranega video nadzora v eni od njenih poslovalnic in okolici, pri katerem so med drugim snemali stranke, ki vnašajo svoje PIN-kode.

Tako je razveljavil odločitev APD, ki je za kršitve, storjene med nakupom, odgovornega razglasila le prodajalca.

V Belgiji je belgijski organ za varstvo podatkov (APD) prav tako opominjal podjetje zaradi nezakonitega hrambe e-poštnega naslova in telefonske številke nekdanjega zaposlenega po izteku pogodbe o zaposlitvi. APD je ugotovil, da je upravljavec podatkov kršil več določb GDPR, vključno z načelom omejitve namena, načeloma minimizacije podatkov in omejitve shranjevanja, načeloma obveščanja posameznika, na katerega se nanašajo osebni podatki, in pravico do izbrisa.

Končno ni bilo več pravne podlage za nadaljnjo obdelavo teh podatkov.

V Španiji je policija APD družbi za finančne storitve (Servicios Financieros Carrefour) naložila globo v višini 1.500.000 evrov, ker ni zagotovila varnosti in zaupnosti obdelave podatkov v okviru kršitve varnosti podatkov, ki je povzročila pošiljanje številnih lažnih e-poštnih sporočil.

Na Irskem je imenovanje nekdanje lobistke Meta Niamh Sweeney za komisarko irskega organa za varstvo podatkov pred kratkim ponovno pritegnilo pozornost.

Irski svet za državljanske svoboščine (ICCL) je 25. oktobra pri Evropski komisiji vložil pritožbo proti Irski, v kateri trdi, da Irska ni zagotovila zadostnih jamstev glede neodvisnosti in nepristranskosti postopka imenovanja.

Evropska komisija se je domnevno odzvala z izjavo, da nima pristojnosti glede nacionalnih imenovanj v zvezi z uradnimi razvojnimi pomočmi.

Nizozemski organ za varstvo podatkov (APD) je družbi Experian Nederland naložil globo v višini 2,7 milijona evrov zaradi večkratnih kršitev GDPR.

Do 1. januarja 2025 je Experian svojim strankam zagotavljal ocene kreditne sposobnosti, za katere je zbiral podatke o na primer negativnem plačilnem vedenju, neplačanih dolgovih ali stečajih.

APD je ugotovil pomanjkanje veljavne pravne podlage za zbiranje informacij in neobveščanje zadevnih oseb.

Podjetje je moralo prenehati s poslovanjem v državi in se zavezalo, da bo do konca leta izbrisalo celotno osebno bazo podatkov.

 

 

Britanski organ za varstvo podatkov (DPA) je ponudnika poslovnih storitev, specializiranega za upravljanje pokojnin, in njegovega podizvajalca oglobil z 8.000.000 oziroma 6.000.000 funtov po kibernetskem napadu, ki je nepooblaščenim tretjim osebam omogočil dostop do podatkov več kot 6 milijonov ljudi.

APD je opozoril na pomanjkanje ustreznih varnostnih ukrepov.

IAPP poroča, da je Mednarodna organizacija za standardizacijo prvič po letu 2019 posodobila svoj mednarodni standard za upravljanje programov skladnosti z zasebnostjo, ISO 27701.

Standard je zdaj samostojen sistem upravljanja, kar pomeni, da organizacijam ne bo več treba imeti sistema upravljanja informacijske varnosti s certifikatom ISO 27001.

Vendar pa bodo tisti s SGSI lahko integrirali oba sistema upravljanja.

Standard podrobno opisuje visoke zahteve za implementacijo PIMS, ki jih mora izpolnjevati in implementirati vsaka organizacija, ki si prizadeva za certificiranje.

Čeprav ga ni mogoče šteti za nadomestilo za zakonodajo, ostaja tesno usklajen z GDPR EU in Združenega kraljestva.

V Združenih državah Amerike imigracijska policija skenira obraze ljudi na ulici, da bi preverila njihovo državljanstvo.

Po poročanju ameriškega medija 404 videoposnetki, ki krožijo po družbenih omrežjih, prikazujejo agente ICE (Immigration and Customs Enforcement) in CBP (Carina in mejna zaščita), ki na terenu uporabljajo tehnologijo prepoznavanja obrazov mimoidočih.

Uporabljena aplikacija Mobile Fortify bi povezala obraze z bazo podatkov z 200 milijoni slik iz baz podatkov FBI, State Departmenta in drugih agencij.

Aplikacija bi lahko izvajala tudi navzkrižno iskanje vozil, telefonov, naslovov in strelnega orožja.

Medtem ko Ministrstvo za domovinsko varnost noče potrditi ali zanikati zmogljivosti »Mobile Fortify«, CBP po poročanjih priznava, da se zanaša na »različna tehnološka orodja za povečanje učinkovitosti agentov«.

Konkurenca pri integraciji umetne inteligence v internetne brskalnike in pri izzivanju prevladujočega položaja zdaj že klasičnega brskalnika Google Chrome narašča.

Microsoft je tako v brskalnik Edge integriral svoje orodje Copilot AI.

Predlagana »dejanja« omogočajo Copilotu izpolnjevanje obrazcev ali rezervacijo hotelov, »potovanja« pa sledenje povezavam med zavihki, ki jih je odprl uporabnik.

Microsoftova objava je prišla dva dni po podobni predstavitvi podjetja OpenAI, ki je predstavilo svoj novi brskalnik Atlas, vizualno zelo podoben Microsoftovemu.